九章使用訪問(wèn)列表管理流量1剖析教案_第1頁(yè)
九章使用訪問(wèn)列表管理流量1剖析教案_第2頁(yè)
九章使用訪問(wèn)列表管理流量1剖析教案_第3頁(yè)
九章使用訪問(wèn)列表管理流量1剖析教案_第4頁(yè)
九章使用訪問(wèn)列表管理流量1剖析教案_第5頁(yè)
已閱讀5頁(yè),還剩61頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、九章使用訪問(wèn)列表管理流量1剖析教案 第九章 使用訪問(wèn)控制列表管理IP流量本章主要內(nèi)容:訪問(wèn)控制列表的概述出口方向上訪問(wèn)控制列表的執(zhí)行 如何識(shí)別訪問(wèn)控制列表通配符掩碼配置訪問(wèn)控制列表管理訪問(wèn)控制列表 第九章 使用訪問(wèn)控制列表管理IP流量 了解 IP 訪問(wèn)列表的主要作用 掌握 IP 訪問(wèn)列表工作流程 能夠配置標(biāo)準(zhǔn)的 IP 訪問(wèn)列表 能夠利用訪問(wèn)列表控制虛擬會(huì)話的建立 能夠配置擴(kuò)展的 IP 訪問(wèn)列表 管理 IP 訪問(wèn)列表重點(diǎn):配置IP 訪問(wèn)列表難點(diǎn):IP 訪問(wèn)列表工作流程要求:管理網(wǎng)絡(luò)中逐步增長(zhǎng)的 IP 數(shù)據(jù)訪問(wèn)控制列表概述一、為什么要使用訪問(wèn)列表Internet管理網(wǎng)絡(luò)中逐步增長(zhǎng)的 IP 數(shù)據(jù)當(dāng)數(shù)

2、據(jù)通過(guò)路由器時(shí)進(jìn)行過(guò)濾訪問(wèn)控制列表概述訪問(wèn)控制列表概述允許、拒絕數(shù)據(jù)包通過(guò)路由器允許、拒絕Telnet會(huì)話的建立沒(méi)有設(shè)置訪問(wèn)列表時(shí),所有的數(shù)據(jù)包都會(huì)在網(wǎng)絡(luò)上傳輸虛擬會(huì)話 (IP)端口上的數(shù)據(jù)傳輸二、訪問(wèn)列表的應(yīng)用QueueList優(yōu)先級(jí)判斷訪問(wèn)控制列表概述基于數(shù)據(jù)包檢測(cè)的特殊數(shù)據(jù)通訊應(yīng)用二、訪問(wèn)列表的其他應(yīng)用QueueList優(yōu)先級(jí)判斷訪問(wèn)控制列表概述按需撥號(hào)基于數(shù)據(jù)包檢測(cè)的特殊數(shù)據(jù)通訊應(yīng)用二、訪問(wèn)列表的其他應(yīng)用訪問(wèn)控制列表概述路由表過(guò)濾RoutingTableQueueList優(yōu)先級(jí)判斷按需撥號(hào)基于數(shù)據(jù)包檢測(cè)的特殊數(shù)據(jù)通訊應(yīng)用二、訪問(wèn)列表的其他應(yīng)用訪問(wèn)控制列表概述三、什么是訪問(wèn)列表1.訪問(wèn)控

3、制列表:是一個(gè)控制網(wǎng)絡(luò)的有力工具,由一系列對(duì)包進(jìn)行分類的條件組成。它提供了數(shù)據(jù)的過(guò)濾,可以在不妨礙合法通信連接的同時(shí)阻止非法的或不必要的數(shù)據(jù)流,保護(hù)網(wǎng)絡(luò)資源。2.訪問(wèn)控制列表的分類:標(biāo)準(zhǔn)訪問(wèn)控制列表擴(kuò)展訪問(wèn)控制列表命名的訪問(wèn)控制列表 標(biāo)準(zhǔn)檢查源地址通常允許、拒絕的是完整的協(xié)議數(shù)據(jù)包出口E0S0數(shù)據(jù)包入口Access List ProcessesPermit?Source訪問(wèn)控制列表概述 標(biāo)準(zhǔn)檢查源地址通常允許、拒絕的是完整的協(xié)議擴(kuò)展檢查源地址和目的地址通常允許、拒絕的是某個(gè)特定的協(xié)議數(shù)據(jù)包出口E0S0數(shù)據(jù)包入口Access List ProcessesPermit?Sourceand Dest

4、inationProtocol訪問(wèn)控制列表概述 標(biāo)準(zhǔn)檢查源地址通常允許、拒絕的是完整的協(xié)議擴(kuò)展檢查源地址和目的地址通常允許、拒絕的是某個(gè)特定的協(xié)議進(jìn)方向和出方向 數(shù)據(jù)包出口E0S0數(shù)據(jù)包入口Access List ProcessesPermit?Sourceand DestinationProtocol訪問(wèn)控制列表概述數(shù)據(jù)包入口NY丟棄選擇接口NACL?有路由嗎??Y數(shù)據(jù)包出口S0出端口方向上的訪問(wèn)列表的執(zhí)行 數(shù)據(jù)包出口PacketNY選擇接口有路由嗎?NPacket檢查條件Permit?Y出端口方向上的訪問(wèn)列表的執(zhí)行 ACL?YS0E0數(shù)據(jù)包入口丟棄Notify Sender出端口方向上的訪

5、問(wèn)列表的執(zhí)行 If no access list statement matches then discard the packet NYNYPermit?YACL?NPacketPacketS0E0數(shù)據(jù)包入口有路由嗎?選擇接口檢查條件數(shù)據(jù)包出口丟棄丟棄訪問(wèn)列表的測(cè)試:允許和拒絕數(shù)據(jù)包到達(dá)接口丟棄Y通過(guò)接口DenyDenyY第一個(gè)條件匹配?Permit訪問(wèn)列表的測(cè)試:允許和拒絕YDenyDenyYPermitNDenyPermitYY數(shù)據(jù)包到達(dá)接口第一個(gè)條件匹配?第二個(gè)條件匹配?通過(guò)接口丟棄訪問(wèn)列表的測(cè)試:允許和拒絕YDenyDenyYPermitNDenyPermitDenyYYNYYPer

6、mit數(shù)據(jù)包到達(dá)接口第一個(gè)條件匹配?第二個(gè)條件匹配?最后一個(gè)條件匹配?丟棄通過(guò)接口訪問(wèn)列表的測(cè)試:允許和拒絕YDenyYPermitNDenyPermitDenyYYNYYPermitImplicit DenyIf no matchdeny allDenyN數(shù)據(jù)包到達(dá)接口第一個(gè)條件匹配?第二個(gè)條件匹配?最后一個(gè)條件匹配?通過(guò)接口丟棄如何識(shí)別訪問(wèn)列表編號(hào)范圍訪問(wèn)列表類型IP 1-99Standard標(biāo)準(zhǔn)訪問(wèn)列表 (1 to 99) 檢查 IP 數(shù)據(jù)包的源地址編號(hào)范圍訪問(wèn)列表類型如何識(shí)別訪問(wèn)列表IP 1-99100-199StandardExtended標(biāo)準(zhǔn)訪問(wèn)列表 (1 to 99) 檢查 IP

7、 數(shù)據(jù)包的源地址擴(kuò)展訪問(wèn)列表 (100 to 199) 檢查源地址和目的地址、具體的 TCP/IP 協(xié)議和目的端口編號(hào)范圍IP 1-99100-199Name (Cisco IOS 11.2 and later)800-899900-9991000-1099Name (Cisco IOS 11.2. F and later)StandardExtendedSAP filtersNamedStandardExtendedNamed訪問(wèn)列表類型IPX如何識(shí)別訪問(wèn)列表標(biāo)準(zhǔn)訪問(wèn)列表 (1 to 99) 檢查 IP 數(shù)據(jù)包的源地址擴(kuò)展訪問(wèn)列表 (100 to 199) 檢查源地址和目的地址、具體的 TC

8、P/IP 協(xié)議和目的端口其它訪問(wèn)列表編號(hào)范圍表示不同協(xié)議的訪問(wèn)列表SourceAddressSegment(for exle, TCP header)DataPacket(IP header)Frame Header(for exle, HDLC)DenyPermit Useaccess list statements1-99 用標(biāo)準(zhǔn)訪問(wèn)列表測(cè)試數(shù)據(jù)DestinationAddressSourceAddressProtocolPortNumberSegment(for exle, TCP header)DataPacket(IP header)Frame Header(for exle, HD

9、LC) Useaccess list statements1-99 or 100-199 to test thepacket DenyPermitAn Exle from a TCP/IP Packet用擴(kuò)展訪問(wèn)列表測(cè)試數(shù)據(jù)通配符掩碼(Wildcard Mask)通配符掩碼的規(guī)定如下:通配符掩碼位為0表示檢查數(shù)據(jù)包的IP地址相對(duì)應(yīng)的比特位。通配符掩碼位為1表示不檢查數(shù)據(jù)包的IP地址相對(duì)應(yīng)的比特位。通配符和主機(jī)或網(wǎng)絡(luò)地址一起使用來(lái)告訴路由器要過(guò)濾的有效范圍。0 表示檢查與之對(duì)應(yīng)的地址位的值1表示忽略與之對(duì)應(yīng)的地址位的值=001111111286432168421=00000000=0000111

10、1=11111100=11111111檢查所有的地址位例如通配符:如何檢查相應(yīng)的地址位忽略最后六位忽略最后四位檢查最后兩位忽略所有的地址位如果要指定一個(gè)主機(jī),訪問(wèn)控制列表中地址應(yīng)當(dāng)寫成: 可以簡(jiǎn)寫為 host (host 9) 90 . 0 . 0 . 0(檢查所有的位) 主機(jī)地址為:通配符掩碼:通配符掩碼指明特定的主機(jī)例:某公司的網(wǎng)絡(luò)管理員計(jì)劃使用訪問(wèn)控制列表控制主機(jī)對(duì)FTP服務(wù)器的訪問(wèn),目的是不允許地址為9 的主機(jī)訪問(wèn)FTP服務(wù)器。 172. 30. 16. 00 . 0 . 0 . 255(檢查前三個(gè)字節(jié))一個(gè)子網(wǎng)為:通配符掩碼:通配符掩碼指明一個(gè)子網(wǎng)如果是不允許地

11、址在172. 30.16. 0 子網(wǎng)的所有主機(jī)訪問(wèn)FTP服務(wù)器。訪問(wèn)控制列表中地址應(yīng)當(dāng)寫成:172. 30. 16. 0 55 可以用 any 簡(jiǎn)寫0. 0. 0. 0(忽略所有位)任意地址:通配符掩碼:通配符掩碼指明所有主機(jī)如果需要在訪問(wèn)列表中表達(dá)所有的主機(jī)檢查從到 的所有子網(wǎng)Network .host .000010000通配符掩碼: 0 0 0 0 1 1 1 1 | 0 0 0 1 0 0 0 0 = 16 0 0 0 1 0 0 0 1 =17 0 0 0 1 0 0 1 0 =18: : 0 0 0 1 1 1 1 1 =31 地址和通配符掩碼: 通配符掩碼和IP子網(wǎng)的對(duì)應(yīng)訪問(wèn)列表

12、配置準(zhǔn)則訪問(wèn)列表的編號(hào)指明了使用何種協(xié)議的訪問(wèn)列表每個(gè)端口、每個(gè)方向、每條協(xié)議只能對(duì)應(yīng)于一條訪問(wèn)列表訪問(wèn)列表中限制語(yǔ)句的位置是至關(guān)重要的將限制條件嚴(yán)格的語(yǔ)句放在訪問(wèn)列表的最上面隱含聲明 deny all在設(shè)置的訪問(wèn)列表中要有一句 permit any訪問(wèn)列表配置準(zhǔn)則先創(chuàng)建訪問(wèn)列表,然后應(yīng)用到端口上訪問(wèn)列表不能過(guò)濾由路由器自己產(chǎn)生的數(shù)據(jù)使用 no access-list number 命令刪除完整的訪問(wèn)列表例外: 名稱訪問(wèn)列表可以刪除單獨(dú)的語(yǔ)句配置訪問(wèn)控制列表Step 1: 設(shè)置訪問(wèn)列表測(cè)試語(yǔ)句的參數(shù)access-list access-list-number permit | deny tes

13、t conditions Router(config)#Step 1:設(shè)置訪問(wèn)列表測(cè)試語(yǔ)句的參數(shù)Router(config)#Step 2: 在端口上應(yīng)用訪問(wèn)列表 protocol access-group access-list-number in | out Router(config-if)#配置訪問(wèn)控制列表IP 訪問(wèn)列表的標(biāo)號(hào)為 1-99 和 100-199access-list access-list-number permit | deny test conditions 標(biāo)準(zhǔn)IP訪問(wèn)列表的配置access-list access-list-number permit|deny s

14、ource maskRouter(config)#為訪問(wèn)列表設(shè)置參數(shù)IP 標(biāo)準(zhǔn)訪問(wèn)列表編號(hào) 1 到 99“no access-list access-list-number” 命令刪除訪問(wèn)列表access-list access-list-number permit|deny source maskRouter(config)#在端口上應(yīng)用訪問(wèn)列表指明是進(jìn)方向還是出方向缺省 = 出方向“no ip access-group access-list-number” 命令在端口上刪除訪問(wèn)列表Router(config-if)#ip access-group access-list-number i

15、n | out 為訪問(wèn)列表設(shè)置參數(shù)IP 標(biāo)準(zhǔn)訪問(wèn)列表編號(hào) 1 到 99“no access-list access-list-number” 命令刪除訪問(wèn)列表標(biāo)準(zhǔn)IP訪問(wèn)列表的配置E0S0E1Non-標(biāo)準(zhǔn)訪問(wèn)列表舉例 1(implicit deny all - not visible in the list)(access-list 1 deny 55)Permit my network only(implicit deny all - not visible in the list)(access-list 1 deny 55)interface ethernet 0ip access-gr

16、oup 1 outinterface ethernet 1ip access-group 1 outE0S0E1Non-標(biāo)準(zhǔn)訪問(wèn)列表舉例 1Deny a specific host標(biāo)準(zhǔn)訪問(wèn)列表舉例 2E0S0E1Non-access-list 1 deny 3 標(biāo)準(zhǔn)訪問(wèn)列表舉例 2E0S0E1Non-Deny a specific hostaccess-list 1 deny 3 (implicit deny all)(access-list 1 deny 55)access-list 1 deny 3 (implicit deny all)(access-list 1 deny 55)int

17、erface ethernet 0ip access-group 1 out標(biāo)準(zhǔn)訪問(wèn)列表舉例 2E0S0E1Non-Deny a specific hostDeny a specific subnet標(biāo)準(zhǔn)訪問(wèn)列表舉例 3E0S0E1Non-access-list 1 permit any(implicit deny all)(access-list 1 deny 55)access-list 1 permit any(implicit deny all)(access-list 1 deny 55)interface ethernet 0ip access-group 1 out標(biāo)準(zhǔn)訪問(wèn)列表舉

18、例 3E0S0E1Non-Deny a specific subnet在路由器上過(guò)濾vty五個(gè)虛擬通道 (0 到 4)路由器的vty端口可以過(guò)濾數(shù)據(jù)在路由器上執(zhí)行vty訪問(wèn)的控制01234Virtual ports (vty 0 through 4)Physical port e0 (Telnet)Console port (direct connect)consolee0如何控制vty訪問(wèn)01234Virtual ports (vty 0 through 4)Physical port (e0) (Telnet)使用標(biāo)準(zhǔn)訪問(wèn)列表語(yǔ)句用 access-class 命令應(yīng)用訪問(wèn)列表在所有vty通

19、道上設(shè)置相同的限制條件Router#e0虛擬通道的配置指明vty通道的范圍在訪問(wèn)列表里指明方向ip access-class access-list-number in|outline vty vty# | vty-rangeRouter(config)#Router(config-line)#虛擬通道訪問(wèn)舉例只允許網(wǎng)絡(luò) 內(nèi)的主機(jī)連接路由器的 vty 通道!line vty 0 4 access-class 12 inControlling Inbound Access標(biāo)準(zhǔn)訪問(wèn)列表和擴(kuò)展訪問(wèn)列表比較標(biāo)準(zhǔn)擴(kuò)展基于源地址基于源地址和目標(biāo)地址允許和拒絕完整的TCP/IP協(xié)議指定TCP/IP的特定協(xié)議

20、和端口號(hào)編號(hào)范圍 100 到 199.編號(hào)范圍 1 到 99擴(kuò)展 IP 訪問(wèn)列表的配置Router(config)#設(shè)置訪問(wèn)列表的參數(shù)access-list access-list-number permit | deny protocol source source-wildcard operator port destination destination-wildcard operator port established logRouter(config-if)# ip access-group access-list-number in | out 擴(kuò)展 IP 訪問(wèn)列表的配置在端口上

21、應(yīng)用訪問(wèn)列表設(shè)置訪問(wèn)列表的參數(shù)Router(config)# access-list access-list-number permit | deny protocol source source-wildcard operator port destination destination-wildcard operator port established log拒絕子網(wǎng) 的數(shù)據(jù)使用路由器e0口ftp到子網(wǎng) 允許其它數(shù)據(jù)E0S0E1Non-擴(kuò)展訪問(wèn)列表應(yīng)用舉例 1access-list 101 deny tcp 55 55 eq 21access-list 101 deny tcp 55 5

22、5 eq 20拒絕子網(wǎng) 的數(shù)據(jù)使用路由器e0口ftp到子網(wǎng) 允許其它數(shù)據(jù)擴(kuò)展訪問(wèn)列表應(yīng)用舉例 1E0S0E1Non-access-list 101 deny tcp 55 55 eq 21access-list 101 deny tcp 55 55 eq 20access-list 101 permit ip any any(implicit deny all)(access-list 101 deny ip 55 55)access-list 101 deny tcp 55 55 eq 21access-list 101 deny tcp 55 55 eq 20access-list 101

23、 permit ip any any(implicit deny all)(access-list 101 deny ip 55 55)interface ethernet 0ip access-group 101 out拒絕子網(wǎng) 的數(shù)據(jù)使用路由器e0口ftp到子網(wǎng) 允許其它數(shù)據(jù)擴(kuò)展訪問(wèn)列表應(yīng)用舉例 1E0S0E1Non-拒絕子網(wǎng) 內(nèi)的主機(jī)使用路由器的 E0 端口建立Telnet會(huì)話允許其它數(shù)據(jù)擴(kuò)展訪問(wèn)列表應(yīng)用舉例 2E0S0E1Non-access-list 101 deny tcp 55 any eq 23拒絕子網(wǎng) 內(nèi)的主機(jī)使用路由器的 E0 端口建立Telnet會(huì)話允許其它數(shù)據(jù)擴(kuò)展訪問(wèn)列

24、表應(yīng)用舉例 2E0S0E1Non-access-list 101 deny tcp 55 any eq 23access-list 101 permit ip any any(implicit deny all)access-list 101 deny tcp 55 any eq 23access-list 101 permit ip any any(implicit deny all)interface ethernet 0ip access-group 101 out拒絕子網(wǎng) 內(nèi)的主機(jī)使用路由器的 E0 端口建立Telnet會(huì)話允許其它數(shù)據(jù)擴(kuò)展訪問(wèn)列表應(yīng)用舉例 2E0S0E1Non-使用名

25、稱訪問(wèn)列表Router(config)#ip access-list standard | extended name適用于IOS版本號(hào)為11.2以后所使用的名稱必須一致使用名稱訪問(wèn)列表Router(config)#ip access-list standard | extended name permit | deny ip access list test conditions permit | deny ip access list test conditions no permit | deny ip access list test conditions Router(config

26、std- | ext-nacl)#適用于IOS版本號(hào)為11.2以后所使用的名稱必須一致允許和拒絕語(yǔ)句不需要訪問(wèn)列表編號(hào) “no” 命令刪除訪問(wèn)列表Router(config)# ip access-list standard | extended nameRouter(config std- | ext-nacl)# permit | deny ip access list test conditions permit | deny ip access list test conditions no permit | deny ip access list test conditions Ro

27、uter(config-if)# ip access-group name in | out 使用名稱訪問(wèn)列表適用于IOS版本號(hào)為11.2以后所使用的名稱必須一致允許和拒絕語(yǔ)句不需要訪問(wèn)列表編號(hào) “no” 命令刪除訪問(wèn)列表在端口上應(yīng)用訪問(wèn)列表將擴(kuò)展訪問(wèn)列表置于離源設(shè)備較近的位置將標(biāo)準(zhǔn)訪問(wèn)列表置于離目的設(shè)備較近的位置E0E0E1S0To0S1S0S1E0E0BAC訪問(wèn)列表的放置原則推薦:D源主機(jī)目標(biāo)主機(jī)wg_ro_a#show ip int e0Ethernet0 is up, line protocol is up Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 1 Proxy ARP is enabled Security level is default Split horizon is enabled ICMP r

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論